код события 1074 windows 10
Код события 1074 windows 10
Всем привет, сегодня небольшая заметка для начинающих системных администраторов, рассмотрим вопрос как определить кто перезагрузил сервер Windows. Бывают ситуации, что по какой то причине отваливается сервер его удаленно перезагрузили, зайдя на которой вы не видите что у него был синий экран BSOD, и значит надо искать кто то его отправил в ребут. Вам необходимо выяснить кто это был.
И так рассматривать кто перезагрузил сервер Windows я буду на примере Windows Server 2008 R2, но все действия абсолютно одинаковы в любой версии Windows начиная с Vista. Поможет нам в реализации нашей задачи оснастка Просмотр событий. Открыть его можно Пуск-Администрирование-Просмотр событий или нажать WIN+R и ввести там evenvwr.msc.
у вас откроется оснастка Просмотр событий. Вам нужно выбрать журнал Windows Система. В нем как раз и находится нужная нам информация в виде события. Проблема в том что их генерируется порой очень много, для этого придумали фильтр. Жмем справа в колонке действия Фильтр текущего журнала.
В открывшемся окне вам нужно отфильтровать данный журнал. Задаем дату, я выставил период за последнюю неделю,
можете выставить и меньше и больше. Выбираем уровень событий, ставим все и самое главное какой будет источник событий. В источнике событий выбираете USER32, он и хранит нужный лог.
В итоге у меня получилась вот такая картина
После нажатия кнопки ок вы получите отфильтрованный журнал система, у меня нашлось одно событие. Код события 1074 о том что сервер с Windows Server 2008 R2 был перезагружен системой после установки программы Microsoft SOAP Toolkit.
Мне этого мало и нужно понять кто начал установку данного приложения. Для этого так же переходив уже в журнал Приложения, делаем фильтр, дату ставим например тоже неделю
Еще отфильтруем по кодам событий с 1035-1040
И в итоге мы видим вот такое событие
Вот мы и выяснили кто он мистер Х. В качестве эксперимента можете удаленно перезагрузить тестовую машину или например я рассказывал как перезагрузить компьютер через командную строку.
Узнайте, почему компьютер просто перезагружен без причины
Я использую Windows 7. По какой-то причине мой компьютер просто выключился и перезапустился. Я не получил никаких предупреждений или указаний на это. Есть ли способ узнать, почему мой компьютер только что перезагрузился?
Вот идентификаторы событий, которые я нашел полезными для отслеживания перезагрузки:
1074это то, что я вижу, когда что-то вызывает перезагрузку моей системы (обычно обновление Windows).
Пример:
Процесс C: \ Windows \ CCM \ CcmExec.exe (SomeComputerName) инициировал перезагрузку компьютера SomeComputerName от имени пользователя NT AUTHORITY \ SYSTEM по следующей причине: не найден заголовок по этой причине
Код причины: 0x80020001
Тип выключения: перезагрузка
Комментарий: Ваш компьютер перезагрузится в 01.07.2017 20:14:38 PM, чтобы завершить установку приложений и обновлений программного обеспечения.
Онлайн описание для 1074 гласит:
Это событие записывается, когда приложение вызывает перезапуск системы или когда пользователь инициирует перезапуск или завершение работы, нажав Пуск или нажав сочетание клавиш CTRL + ALT + DELETE, а затем нажав Завершение работы.
На моей машине я видел это: 
Уведомление о перезагрузке вышло в 6:14 вечера (пока меня не было за обедом).
Машина вышла из меня в 8:15 вечера.
Машина выключилась в 8:16 вечера.
Машина включилась в 8:17 вечера (что свидетельствует о «горячей перезагрузке»).
Когда я вернулся домой с ужина и кино, я вернулся в 8:59 вечера.
Вот как я узнал, что наши ИТ-специалисты разработали политику, которая давала мне только 2-часовое уведомление о перезагрузке.
У вас могут быть разные причины перезагрузки, поэтому запишите это время и поищите что-нибудь записанное в те времена.
Сервер Windows сам выключается – событие user32 event 1074
Привет. Недавно столкнулся с очень неприятной ситуацией — часть серверов начала самопроизвольно выключаться. Какой — либо закономерности в выключениях проследить не удавалось. Единственное что объединяло серверы — это то что на них была установлена ОС Windows Server 2012 или выше, и большая их часть имеет роль терминальных. Ах да, еще все эти серверы — виртуальные и работают под управлением Hyper V. Хочу сегодня рассказать, в чем была проблема.
Конечно, любая диагностика должна начинаться с анализа логов. И вот какое событие удалось обнаружить непосредственно перед выключениями серверов – событие 1074, user32:
The process C:\Windows\system32\winlogon.exe (DC) has initiated the power off of computer DC on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off
По ним становится понятно, что работа завершается штатно. Что в общем то позволяет исключить влияние железа, хотя оно и так было исключено, т. к. все серверы виртуальные. Под подозрение попал гипервизор, но рысканье вдоль и поперек по логам ни какого результата не дало. События относящиеся к завершениям работы не имели отношения к инициализации завершения работы. Говорят, что виртуальные машины могут в редких случаях произвольно выключаться, если есть проблемы со свободной памятью, но в моем случае памяти было более чем достаточно.
В общем думаю хватит томить, и пора рассказать вам, в чем же в итоге было дело. Подключившись по RDP, я сидел и размышлял, что же может быть причиной подобного завершения работы. И вот из-за бездействия меня выбило на экран ввода пароля, где я обнаружил вот такой экран:
Обратите внимание на нижний угол:
Да, это мать его, завершение работы системы. Оказывается с 2012 винды MS сделали эту кнопку доступной при подключении по RDP.
Computer Configuration – Policies – Windows Settings – Local Policies – Security Options – Shutdown: Allow system to be shut down without having to log on.
Отключаем его и всё, возможности выключить сервер у пользователей не будет.
В общем и целом, после изменения этого параметра мистические выключения прекратились.
Код события 1074 windows 10
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Общие обсуждения
Доброго времени суток! Установлена ос 2008r2 с последними обновлениями. На сервере установлена 1С, пользователи подключаются по RDP. Происходят периодические выключения питания с записью в журнале Событие 1074 USER 32 ( Процесс wininit.exe (127.0.0.1) инициировал действие «Выключение питания» для компьютера SERVERNEW от имени пользователя NT AUTHORITY\система по причине: Завершение работы, вызванное устаревшей API-функцией Код причины: 0x80070000 Тип выключения: Выключение питания ).
Железо новое, 2 месяца в эксплуатации, HP ml150g9, настройки питания в биосе на максимальную производительность, chkdsk, sfc /scannow результатов не дали, вирусов не обнаружено. По наблюдениям выявлено, что отключения происходит при работе пользователей, т.е. вечером и в выходные сервер работает. В локальной групповой политике в «Завершении работы системы» удалены все пользователи в т.ч. админ. Пользователи с обычными правами.
Помогите найти решение проблемы! Буду очень признателен.
Самопроизвольное выключение компьютера.
Автор PitBuLL,
30 декабря, 2020 в Компьютерная помощь
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Похожий контент
Здравствуйте, не давно купил компьютер, довольно мощьный. Не давно возникла проблема, компьютер при включении начинает загружаться, всё как надо. Загружается монитор, мерцает клавиатура, всё горит. После чего монитор просто перестаёт загружаться, другими словами тухнит. А индикатор того что монитор включён начинает мигать, то есть монитор работает. После чего я зажимаю кнопку включения системника на секунд 5, он отключается после чего обратно включаю. И со второго раза он уже полноценно загружается. И так постоянно. В чём может быть проблема? И стоит ли волноваться по поводу этого? А то говорить родным что новый ПК уже даёт сбои и требуется в ремонте максимально не хочется. Единственное вчера при очередном подобном загрузке ПК, виндоус делал какую то вещь с диском и там проценты были. Не знаю, может это как то связанно.
ПК: I7-9700, GTX1070, 16GB RAM, 256SSD, 1TB HDD, Windows 10 Pro.
1600 об/мин ± 10%. (обычно у таких кулеров скорость вращения вентилятора от 600 об/мин).
Например, большие корпусные три вентилятора, при включении ПК на несколько секунд начинают вращаться на полную мощность (это заметно и слышно), затем стихают и вращаются со скоростью примерно 375 RPM, 485 RPM, 495 RPM. Но в BIOS, для них, так же по умолчанию выставлено минимальное значение 600 RPM.